Derzeit erschüttert eine weltweite Angriffswelle gegen WordPress-Seiten das Internet. Wenn man den aktuellen Meldungen Glauben schenken darf, handelt es sich um eine groß angelegte Botnet-Attacke, deren Rechenleistung ausreicht, um schätzungsweise 2 Milliarden Passwortkombinationen pro Stunde durchzuprobieren.

Ziel und Zweck der Angriffswelle sind unklar und jeder sollte sein WordPress-System bestmöglich schützen. Das ist überhaupt gar nicht schwer. Bevor es aber losgeht möchte ich voranstellen, dass ich Fotograf bin und kein IT-Experte. Es ist daher nicht ausgeschlossen, dass Sie mit folgenden Tipps keine optimale Absicherung erzielen. Ich kann Ihnen aber versprechen, dass folgende Methoden die Erfolgschancen eines Angriffes drastisch senken.

Lesen Sie nun, wie Sie WordPress mit wenigen Handgriffen sicherer machen. Anmerkung: dieses Tutorial ist an WordPress-Anwender gerichtet, die über vollständige Administrationsrechte verfügen.

[divider]

Tipp 1: Standardbenutzer entfernen

WordPress schlägt bei der Installation den Standardbenutzer „admin“ vor. Aus Bequemlichkeit wird dieser Vorschlag oft übernommen und somit das erste Türchen für potenzielle Angreifer geöffnet, da jetzt nur noch das Passwort herausgefunden werden muss.

Daher sollte dieser Standardbenutzer unbedingt gelöscht werden. Legen Sie stattdessen einen neuen Benutzeraccount mit Administratorrechten an. Es gibt zwar Plugins, mit denen man den Benutzernamen „admin“ beliebig ändern kann, davon ist jedoch abzuraten, da die interne Benutzer-ID mit der Nr. 1 ebenfalls Risiken in sich birgt.

Wie man den Standardbenutzer löscht und einen neuen Administrator anlegt, habe ich in folgendem Video zusammengefasst:

Teil 1/6: Löschen des Standardbenutzerkontos und Anlegen eines neuen Administrators
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/bALfFI_uJCg?rel=0″ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

[divider]

Tipp 2: Benutzen Sie ein sicheres Passwort

Man merkt sich ungern komplizierte Dinge. Deswegen werden häufig Passwörter wie „geheim“, „passwort“, „12345“ usw. verwendet. Mir wird wohl jeder zustimmen, dass solche Passwörter eher als unsicher einzustufen sind.

Sichere Passwörter sind hingegen solche, die eine Kombination von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthalten. Eine ganz sichere Variante wäre also z. B. ein Konstrukt wie locK221$88. Zugegeben, eine solche Kombination kann sich niemand merken und so kompliziert muss es auch gar nicht sein. Es genügt, wenn Sie ein bisschen kreativ sind und sich eine Kombination ausdenken, die Sie sich merken können, weil Sie einen Bezug dazu haben (den idealerweise Außenstehende nicht erraten können). Übrigens: WordPress erlaubt im Passwort auch Leerzeichen, so dass Sie auch kurze Phrasen verwenden können.

Eine visualisierte Anleitung finden Sie im folgenden Video:

Teil 2/6: Ändern des Passwortes sowie Grundlagenwissen über sichere Passwörter
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/AkJyR2mCbwU?rel=0″ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

[divider]

Tipp 3: WordPress-Versionsnummer verstecken

Jede WordPress-Version hat ihre spezifischen Sicherheitslücken. Und weil die Versionsnummer standardmäßig im Quelltext Ihrer Seite hinterlegt wird, ist es für Angreifer ein Leichtes, diese Lücken gezielt zu attackieren. Wer sein WordPress stets auf dem neusten Stand hält, kann auf das Verstecken der Versionsnummer verzichten und diesen Schritt überspringen. Aber mancher Anwender wird evtl. aus bestimmten Gründen an seiner alten Version festhalten müssen/wollen. Für diesen Anwenderkreis ist das Verstecken der Versionsnummer empfohlen. Ich weise aber ausdrücklich darauf hin, dass dieser Schutz nur oberflächlich ist und lediglich gegen eine Auswahl automatisierter Attacken schützt. Ein fachkundiger Hacker kann die Version Ihres Systems durch bestimmte Kontrollmechanismen trotzdem ermitteln.

Wer seine Versionsnummer verstecken möchte, kann dies leicht mit dem Plugin „Hide WordPress Version“ erledigen. Sie müssen das Plugin lediglich installieren und aktivieren. Es sind keine weiteren Einstellungen erforderlich.

Teil 3/6: Verstecken der WordPress-Versionsnummer
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/P7DSogosYps?list=PL7NvR-WfGMSSDGvhboD7phKrTT-xqWCtK“ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

Wenn Sie nicht wissen, wie man ein Plugin installiert, sehen Sie sich dieses Video an: Anleitung WP-Plugininstallation

[divider]

Tipp 4: Verstecken des Admin- und Login-URL

Es hat sich herausgestellt, dass dieser „Schutz“ eher oberflächlich wirkt und echte Angriffe nicht abwehren kann. Daher wird von der Umsetzung dieser Maßnahme abgeraten, da ein unnötig eingesetztes Plugin zum einen das WordPress-System belastet und im Falle eines Programmierfehlers weitere Sicherheitslücken aufweisen kann.

Die üblichen Wege, zum Anmeldefenster zu gelangen, führen über den URL /wp-admin und /wp-login.php. Mit dem Plugin „Lockdown WP Admin“ können Sie diese URLs frei wählen und somit vor Eindringlingen verstecken. Damit schließen Sie ein weiteres Türchen für Hacker. Denn was man nicht sieht, kann man nicht Angreifen:

Teil 4/6: Verstecken des Login-Formulares unter /wp-admin und /wp-login.php
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/ooFYQ9R32XM?list=PL7NvR-WfGMSSDGvhboD7phKrTT-xqWCtK“ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

[divider]

Tipp 5: Brute-Force-Attacken blockieren

Brute-Force-Attacken sind eigentlich nichts anderes, als ein intensives Ausprobieren verschiedener Kombinationen von Benutzernamen und Passwörtern. Hat man sich einen besonders pfiffigen Benutzernamen ausgedacht und ein sicheres Passwort gewählt (siehe Tipps 1+2), hat man vermutlich nicht viel vor einer solchen Attacke zu befürchten. Aber sicher kann man da nie sein. Deswegen ist es ratsam, solche Angriffe zu erkennen und zu blockieren. Keine Angst – auch hierfür ist kein Fachwissen notwendig und Sie müssen auch nicht die ganze Nacht am Computer Wache schieben. Das Plugin „Limit Login Attempts“ erledigt diese Aufgabe perfekt!

Teil 5/6: Brute-Force-Attacken blockieren
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/eiM9fr5u6-c?list=PL7NvR-WfGMSSDGvhboD7phKrTT-xqWCtK“ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

[divider]

Tipp 6: Das i-Tüpfelchen: Die Zwei-Faktor-Authentifizierung

Beim Onlinebanking sind sogenannte mTANs bekannt. Das sind mobile Transaktionsnummern, die dem Kontoinhaber bei Bedarf auf sein Mobiltelefon gesendet werden und genau für nur eine Verwendung gültig sind.

Etwas sehr ähnliches gibt es auch für WordPress. Benutzername und Login werden um ein weiteres Feld ergänzt. In dieses Zusätzliche Feld tragen Sie eine zufällig erzeugte Ziffer ein, die nur für wenige Sekunden gültig ist.

Möglich wird das mit dem Plugin „Google Authenticator“. Sie benötigen außer dem Plugin eines der folgenden Mobilgeräte, auf dem sie eine separate App installieren müssen: iPhone, iPod Touch, iPad, Android Smartphone, Blackberry (siehe http://support.google.com/accounts/bin/answer.py?hl=de&answer=1066447). Die jeweilige App (Name: Google Authenticator) erhalten Sie im Downloadbereich Ihres jeweiligen App-Anbieters (z. B. Apple AppStore).

Haben Sie App und Plugin installiert, richten Sie die 2fach-Authentifizierung mit wenigen einfachen Schritten ein:

Teil 6/6: Einrichten einer 2fach-Authentifizierung
[youtube_advanced url=“http://www.youtube-nocookie.com/embed/3RogiynKE74?list=PL7NvR-WfGMSSDGvhboD7phKrTT-xqWCtK“ showinfo=“no“ rel=“no“ modestbranding=“yes“ theme=“light“]

[divider]

Damit wären wir auch schon am Ende angekommen. Ich hoffe, ich konnte Ihnen viele Neuigkeiten zur Absicherung Ihres WordPress-Systemes vermitteln. Die genannten Tipps funktionieren separat, aber auch alle zusammen. Ich kann jedoch nicht garantieren, dass die von mir vorgeschlagenen Methoden und Plugins mit allen anderen Pluginkombinationen und Templates kompatibel sind. Sollten die vorgeschlagenen Lösungen in Ihrem WordPress-System zu Problemen führen, versuchen Sie eine adäquate Ersatzlösung zu finden. Gerade im Bereich der Plugins gibt es viele Alternativen.

Abschließend finden Sie im unteren Bereich dieser Seite alle wichtigen Links zum Download der verwendeten Software. Ich wünsche viel Spass beim Betreiben Ihrer Webseite und hoffe, dass Sie allen zukünftigen Angriffen standhalten.

[divider]

[accordion]
[spoiler title=“Hintergrundinformationen und weiterführende Links“]Alle YouTube-Videos gibt es als Playlist unter folgendem Link: Zur Playlist[/spoiler]
[spoiler title=“Quellen“]http://www.spiegel.de/netzwelt/gadgets/weltweite-hacker-angri…[/spoiler]
[spoiler title=“Für dieses Tutorial verwendete Software“]
WordPress 3.5.1
Hide WordPress Version 1.0.1
Lockdown WP Admin 2.0.1
Limit Login Attempts 1.7.1
Google Authenticator 0.44
[/spoiler]
[spoiler title=“Anleitung zur Installation von WP-Plugins“]http://www.youtube.com/watch?v=Im4X3mqPDB4[/spoiler]

[/accordion]

[divider]

[autorbox]

Kommentare

Kommentare